Wie VPN in Zeiten von HomeOffice einfach gestalten

Mitglied: VizKynetic

VizKynetic (Level 1) - Jetzt verbinden

20.01.2021 um 19:20 Uhr, 1566 Aufrufe, 16 Kommentare, 7 Danke

Moin!

Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten.
Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über die Jahre einfach gewachsen ist und wir nicht jeden Kunden neu aufgesetzt haben.

Wie geht Ihr das an ?
Was ist für Euch die Ideale Lösung um VPN einfach bedienbar zu gestalten ?

Wir haben Handwerker als Endkunden, da muss es Simpel und am Besten von Überall und mit nahezu jedem Endgerät spontan möglich sein in sein Firmennetz zu kommen.

Ich bin gespannt auf regen Austausch !

Grüße
Robin
Mitglied: tikayevent
20.01.2021 um 19:29 Uhr
Also wenn es schnell gehen sollte, ist vermutlich ein RDS-Host mit passendem RDS Gateway besser und schneller, als irgendeine VPN-Lösung. Brauchst nur den RDP-Client von Microsoft, den es für sehr viele Plattformen gibt.

Eine VPN-Verbindung wäre dagegen universeller einsetzbar und da bevorzuge ich eine Cisco ASA mit Anyconnect.

Wichtig ist eine 2FA-Lösung.
Bitte warten ..
Mitglied: Vision2015
20.01.2021 um 20:26 Uhr
moin...
natürlich RDP, allerdings nur über VPN....
was für Router haben den eure Kunden?
Cisco mit Anyconnect ist schon mal nicht falsch....

Frank
Bitte warten ..
Mitglied: transocean
20.01.2021 um 20:30 Uhr
Moin,

hier wird das mittels RDP über eine VPN Verbindung mit 2-FA erledigt.

Gruß

Uwe
Bitte warten ..
Mitglied: em-pie
20.01.2021 um 20:39 Uhr
Moin,

hier läuft 'nen Citrix Netscaler und die passende Citrix-Infrastruktur.
Von extern wird ein SSL-VPN aufgebaut, Einwahl ebenfalls via 2FA

SSL-VPN hat den Vorteil, dass es in aller Regel überall da läuft, wo man Internet hat.

Ansonsten RDP + VPN


Spannend wäre, wer ihr seid.
Seid ihr ein Systemhaus, könnte man überlegen, ob ihr mittelfristig nicht für eure Kunden eine eigene Infrastruktur betreibt, die die Kunden dann Mieten können.
Sicherlich erfordert das Kapazitäten in einem zentralen RZ und KnowHow für die Implementierung und Absicherung, aber langfristig für euch womöglich von Vorteil: Grundsätzlich einheitliche Umgebungen, ich braucht quasi nur einmal einen generellen Zugangspunkt anlegen, etc.
Könnte man mit einer VDI-Lösung realisieren. ABer hier gibt es immer viele Weg nach Rom...
Lohnt aber nur, wenn ihr ausreichend (zahlungswillige) Kunden habt. Für kleinere Handwerker aber sicherlich ebenfalls eine mögliche Alternative...

Gruß
em-pie
Bitte warten ..
Mitglied: VizKynetic
20.01.2021 um 21:10 Uhr
Wir waren eigentlich mal eine Softwarebude für Handwerkersoftware.
Mit der Zeit kam dann vor Jahren die Anfrage zwecks Hardware - also alles Richtung Systemhaus gewandert.
Leider haben die Kundensysteme die wir übernehmen sollen, bzw Remotefähig aufbauen sollen häufig zig verschiedene Router.
Zum testen ob das überhaupt so läuft wie sich das der Endkunde wünscht, wird meist ne einwöchige simple RDP Testsession gemacht.
Danach wird festgestellt ob aufgrund der anliegenden Bandbreite etc. überhaupt ein akzeptable Reaktionszeit vorhanden war.
Da das natürlich nicht sicher ist, wird das auch danach deaktiviert und geschaut was, wo wie.
Und ab da gibts ja tausend Wege das ganze sicher zu gestalten.

Der Wille etwas dafür zu berappen, seitens der Kundschaft, ist häufig da.
Nur bei so vielen verschiedenen Netzwerken, Routern, Firewall (falls überhaupt vorhanden) und Endgeräten fehlt mir einfach die eierlegende Wollmilchsau, die ich nahezu in jedem Fall anwenden kann.

Erst Heute wurde ein Fremdnetzwerk an uns herangetragen.
FritzBox 7590 vorhanden
3 Notebooks, die Remote auf 3 Desktoprechner zugreifen möchten
Dazu noch der Chef, der bislang auf eine Hyper-V Win10 Maschine zugreift.
Natürlich hat der noch einen PC zu Hause der darauf zugreifen soll und diverse Apple Geräte(MacBook Pro Mid 2017 und iPad Pro12")

Derzeit sind die Office FritzBox und die Home FritzBox miteinander verbunden, worüber der HomeOffice Platz simpel mit der IP auf die RDP Session im Büro kommt.
Die Notebooks hingegen sind für die Mitarbeiter, die leider zu Hause keine FritzBox besitzen.

Nun könnte ich einen DDNS aufsetzen (da keine feste IP möglich), evtl. ShrewSoft nutzen (leider outdated) und das ganze zusammenführen.
So ganz gefällt mir das Setup aber absolut gar nicht.
Wenn Ihr den "Serverraum" sehen würdet - JEDER würde schreiend davon rennen.
Bitte warten ..
Mitglied: em-pie
20.01.2021, aktualisiert um 21:30 Uhr
Naja, den Wildwuchs wirst du nicht eher los, bis dass ihr für euch einen Standard überlegt, den ihr euren Kunden anbieten könnt.

Mal als Beispiel, wenn ihr da in den Heimwerkerbüros mal 'ne Fritzbox, mal 'nen Speedport, mal diese komischen UnityMedia/ Vodafone irgendwas Kisten, etc. vorfindet, platziert im dortigen Netz irgendeinen Standard.

Im WorstCase:
  • Ein APU-Board (z.B. APU2E4), bestückst mit einer pfSense
  • davor ein geeignetes Modem,
    • bei DSL gerne gesehen: Draytek Vigor 130/165
    • die vorhandene Fritte mit einer eingerichteten statischen Route
  • auf der pfSense ein OpenVPN anlegen und fertig.


Wenn im Falle des Falls am WAN-Anschluss CGN betrieben wird, bräuchtet ihr ggf. bei euch (ein gemieteter Server o.Ä.) einen Zugangspunkt:
pfSense baut den Tunnel dorthin auf, die Chefs/ TEchniker im Außeneinsatz bauen ebenfalls den Tunnel "zu euch" auf und über ein passendes Routing werden die Büros mit den Clients "gemapped".


Anleitungen für VPN auf einer pfSense gibbet hier vom Kollegen @aqui:
https://administrator.de/tutorial/openvpn-server-installieren-pfsense-fi ...
https://administrator.de/contentid/544054#toc-6
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/tutorial/vpns-dd-wrt-pfsense-opnsense-basis-ppt ...
Bitte warten ..
Mitglied: mbehrens
20.01.2021 um 22:42 Uhr
Hi,

  • Citrix ADC/Gateway, auch "clientless" per Browser, MFA
  • S2S VPN über vorkonfigurierte Hardware
  • klassischer VPN Client (IPsec, OpenVPN), MFA
  • TeamViewer/AnyDesk, MFA

Entweder im Auftrag implementiert oder als "Managed Service".
Bitte warten ..
Mitglied: dwaldmannDE
21.01.2021 um 07:16 Uhr
Hallo!

wir haben für unsere Kunden zwei Musterlösungen im Angebot:

1.) IKEv2 basierter Always On VPN Device-Tunnel für die Windows Geräte. Anmeldung am VPN erfolgt per Zertifikat und die Geräte sind alle verschlüsselt (Bitlocker TPM + PIN/USB-Key). Das bieten wir hauptsächlich für "reifere" Kunden an, die schon eine passende IT-Infrastruktur vor Ort oder bei uns im RZ haben. Wird auch sehr gut angenommen, da der VPN automatisch funktioniert, sobald das Gerät nicht mehr in der Firma ist. Und der Supportaufwand ist auch vergleichsweise gering.

2.) OpenVPN basierter User-Tunnel. Der Kunde hat vor Ort eine OPNSense Appliance, die als OpenVPN-Server fungiert. Die Anmeldung erfolgt per Zertifikat und Username + Passwort (idR. LDAP). Der User baut den Tunnel bei Bedarf über den Client auf - hier setzen wir schon eine Weile auf Viscosity, da wir einiges per GPO vorgeben können und die Lizenzen zu einem fairen Preis zu bekommen sind. Für Kunden, die Infrastruktur bei uns im RZ haben, setzen wir normalerweise auch dort den OpenVPN Server auf und binden den Kundenstandort dann per Site2Site-VPN an.

Grüße
Daniel
Bitte warten ..
Mitglied: aqui
21.01.2021, aktualisiert um 09:35 Uhr
Was ist für Euch die Ideale Lösung um VPN einfach bedienbar zu gestalten ?
Heutzutage ja kinderleicht....
Firewall so konfigurieren das man bei allen Betriebssystemen (Windows, Apple, Smartphones etc.) übergreifend den bordeigenen VPN Client benutzt:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Für die Clients ist es dann an simpler Doppelklick:
https://www.heise.de/select/ct/2017/19/1505072179377781

Sowas kann auch der schlimmste DAU einfach und problemlos bedienen und solche einfachen VPN Binsenweisheiten muss man in Zeiten von Homeoffice eigentlich nicht mehr in einem Forum erfragen. ;-) face-wink
Zum Rest ist oben ja schon alles gesagt !
Bitte warten ..
Mitglied: VizKynetic
21.01.2021 um 15:33 Uhr
Seltsam - Jeder andere Kommentar war hilfreich, ohne sich gleich zu profilieren.
Ich bin Jung und lebe nach der Devise: Man lernt Nie aus. Ich frage lieber einmal mehr nach und mache es dann richtig.
Hoffe du fühlst dich nun besser ! :-) face-smile
Bitte warten ..
Mitglied: aqui
21.01.2021, aktualisiert um 15:51 Uhr
Sehr viel besser !! 😉
Die Notebooks hingegen sind für die Mitarbeiter, die leider zu Hause keine FritzBox besitzen.
Die brauchen sie ja auch gar nicht. Dafür hat AVM intelligenterweise den kostenlosen FritzBox Fernzugang im Portfolio. Damit können sich die Laptops kinderleicht auf die vorhandene Office FritzBox per VPN einwählen und fertig ist deine HomeOffice VPN Lösung:
https://avm.de/service/vpn/uebersicht/
Es muss ja nicht immer gleich eine Site to Site Kopplung sein wie oben. Aus Sicherheitsgründen und vermutlich IP Adressierungsgründen so oder so ein NoGo...aber egal.
Bitte warten ..
Mitglied: VizKynetic
21.01.2021 um 18:17 Uhr
Wie gesagt - das ist der derzeitige Situation, die ich gerne anpassen würde und gleichzeitig für kommende Anfragen als Beispiellösung aus dem Hut zaubern kann.
Die Site-Site Config stammt vom unbekannten Vorgänger.
Generell steht dort eine komplette Reorganisation an, wenn es für die Handwerker Richtung Sommer etwas weniger stressig wird.
Derzeit schaue ich mir die, mir bisher unbekannten, Lösungsansätze an und versuche einen Standard zu setzen.
Danke für Eure Infos !
Bitte warten ..
Mitglied: Trommel
22.01.2021 um 12:52 Uhr
Moin,

mal gut zu wissen, wie die anderen Kollegen das ganze so umsetzen. Daher eine gute Frage zum Austausch und gerade jetzt besonders wichtig.

Was mir bei der ganzen Sache Bauchschmerzen bereitet, ist das Problem hinsichtlich der Sicherheit - aber auch dem Datenschutz - denn manche Arbeitgeber wollen halt einfach auch nicht, dass Daten außerhalb der Firma bearbeitet werden. HomeOffice sagt sich immer so leicht, wenn man technisch davon keine Ahnung hat. Das Netzwerk bei denen zu Hause ist ja meist unbekannt, mit zig anderen Geräten die dort drinnen hängen. Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll. Wie geht ihr damit um?

Viele Grüße

Trommel
Bitte warten ..
Mitglied: Looser27
22.01.2021 um 14:19 Uhr
Tag,

da ist der oben von den Kollegen empfohlene Weg über VPN + RDP der einzig vernünftige. Die Daten bleiben allesamt auf dem RDP, bzw. in der Infrastruktur der Firma und das Gerät zuhause wird nur noch zum Angucken benötigt.

Die Verbindungen in die Firma baue ich soweit möglich immer mit OpenVPN (läuft auf allen gängigen Clients).

Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll.

In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.

Gruß

Looser
Bitte warten ..
Mitglied: em-pie
22.01.2021 um 14:22 Uhr
Zitat von @Looser27:
Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll.

In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.
Ergänzt darum, dass per GPO keinerlei lokalen Geräte (Speichersticks, Drucker, Zwischenablage, ...) zwischen dem Client und dem RDP-Ziel ausgetauscht werden können
Bitte warten ..
Mitglied: Dani
23.01.2021 um 17:33 Uhr
Moin,
Wie geht Ihr das an ?
wir setzen seit Jahren eine Virtual Deskop Infrastructure (VDI) ein. Wir nutzen dafür VMware Horizon und 90% der IT-Arbeitsplätze sind virtualisiert. Damit verbunden wird für mobiles Arbeiten / Home office (sprich externer Zugriff) der HTML5 Client genutzt. Wenn es Probleme mit der Internetanbindung des Nutzers gibt, kommt der VMware Horizon Client zum Einsatz.

Als Alternative fällt mir Apache Guacamole ein. Ist ein paar Nummern kleinern und erst einmal kostenlos. Besitzt ebenfalls eine HTML5 Oberfläche und ist für kleine Nutzerzahlen performant. Wird auf grund der Entwicklung unter Apache Tomcat und damit primär unter Linux installiert.


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 15 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...